VCCSEC Blog
🌙
News

Tin tức An toàn thông tin - Tuần 4 - Tháng 6 - 2023

date
Jun 26, 2023
slug
tin-tuc-attt-tuan-4-thang-6-nam-2023
author
status
Public
tags
News
Daily
Blog
Docs
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 4 tháng 6 - 2023 (26/6-1/7)
type
Post
thumbnail
blackcat-red.webp
category
News
updatedAt
Jul 28, 2023 02:04 AM
1. Sàn giao dịch tiền điện tử Nhật Bản trở thành nạn nhân của cuộc tấn công backdoor JokerSpy macOS2. Microsoft cảnh báo về các cuộc tấn công đánh cắp thông tin xác thực trên diện rộng của tin tặc Nga3. Anatsa Banking Trojan nhắm mục tiêu người dùng ở Mỹ, Anh, Đức, Áo và Thụy Sĩ4. Kỹ thuật chèn quy trình Mockingjay mới để tránh sự phát hiện của EDR5. Lỗ hổng nghiêm trọng SQL injection khiến Gentoo Soko bị thực thi mã từ xa6. NPM gặp rủi ro từ các cuộc tấn công “Manifest Confusion”7. Tình trạng hiện tại của các cuộc tấn công thỏa hiệp email doanh nghiệp8. Nhóm ransomware 8Base thực hiện leo thang các cuộc tấn công tống tiền vào tháng 69. Phiên bản Linux của phần mềm tống tiền Akira nhắm vào các máy chủ VMware ESXi10. Microsoft Sysmon phát hiện tệp thực thi được tạo11. Phần mềm độc hại dựa trên Windows của ThirdEye mới được phát hiện đánh cắp dữ liệu nhạy cảm12. Phần mềm độc hại EarlyRAT mới được liên kết với nhóm hack Andariel của Bắc Triều Tiên13. Mã độc Fluhorse nhắm mục tiêu thẻ tín dụng và mã 2FA trên Android14. Tin tặc khai thác lỗ hổng zero-day trong plugin Ultimate Member WordPress với 200 nghìn lượt cài đặt15. Tội phạm mạng chiếm quyền điều khiển máy chủ SSH dễ bị tổn thương trong chiến dịch tấn công ủy quyền mới

1. Sàn giao dịch tiền điện tử Nhật Bản trở thành nạn nhân của cuộc tấn công backdoor JokerSpy macOS

Một sàn giao dịch tiền điện tử không xác định ở Nhật Bản là mục tiêu của một cuộc tấn công mới vào đầu tháng này để triển khai một cửa hậu Apple macOS có tên là JokerSpy.
Elastic Security Labs đang theo dõi vụ xâm nhập có tên REF9134, cho biết cuộc tấn công đã dẫn đến việc cài đặt Swiftbelt, một công cụ liệt kê dựa trên Swift được lấy cảm hứng từ một tiện ích mã nguồn mở có tên là SeatBelt.
JokerSky lần đầu tiên được ghi nhận bởi Bitdefender vào tuần trước, mô tả nó là một bộ công cụ tinh vi được thiết kế cho các máy macOS.
Có rất ít thông tin về tác nhân đe dọa đằng sau hoạt động này ngoài thực tế là các cuộc tấn công tận dụng một bộ chương trình được viết bằng Python và Swift có khả năng thu thập dữ liệu và thực thi các lệnh tùy ý trên các máy chủ bị xâm nhập.
Thành phần chính của bộ công cụ là một tệp nhị phân đa kiến trúc tự ký được gọi là xcc được thiết kế để kiểm tra các quyền FullDiskAccess và ScreenRecording.
Tệp được ký dưới dạng XProtectCheck, cho biết nỗ lực giả mạo là XProtect, một công nghệ chống virus tích hợp trong macOS sử dụng các quy tắc phát hiện dựa trên chữ ký để xóa phần mềm độc hại khỏi các máy chủ đã bị nhiễm.
Trong sự cố được phân tích bởi Elastic, việc tạo xcc bởi tác nhân đe dọa "cố gắng vượt qua các quyền của TCC bằng cách tạo cơ sở dữ liệu TCC của riêng chúng và cố gắng thay thế cơ sở dữ liệu hiện có."
notion image
"Vào ngày 1 tháng 6, một công cụ dựa trên Python mới đã được nhìn thấy đang thực thi từ cùng thư mục với xcc và được sử dụng để thực thi một công cụ liệt kê sau khai thác macOS mã nguồn mở được gọi là Swiftbelt,"
Cuộc tấn công nhắm vào một nhà cung cấp dịch vụ tiền điện tử lớn có trụ sở tại Nhật Bản tập trung vào trao đổi tài sản để giao dịch Bitcoin, Ethereum và các loại tiền điện tử phổ biến khác. Tên của công ty không được tiết lộ.
Tệp nhị phân xcc được khởi chạy bằng Bash thông qua ba ứng dụng khác nhau có tên là IntelliJ IDEA, iTerm (trình giả lập thiết bị đầu cuối cho macOS) và Visual Studio Code, cho biết rằng các phiên bản backdoor của ứng dụng phát triển phần mềm có khả năng được sử dụng để đạt được quyền truy cập ban đầu.
Một module đáng chú ý khác được cài đặt như một phần của cuộc tấn công là sh.py, một bộ cấy Python được sử dụng làm đường dẫn để phân phối các công cụ hậu khai thác khác như Swiftbelt.
Các nhà nghiên cứu cho biết: “Không giống như các phương pháp liệt kê khác, Swiftbelt gọi mã Swift để tránh tạo ra các tạo phẩm dòng lệnh. "Đáng chú ý là các biến thể xcc cũng được viết bằng Swift."
Nguồn 🔗 TheHackerNews

2. Microsoft cảnh báo về các cuộc tấn công đánh cắp thông tin xác thực trên diện rộng của tin tặc Nga

Microsoft đã tiết lộ rằng họ đã phát hiện thấy sự gia tăng đột biến trong các cuộc tấn công đánh cắp thông tin xác thực do nhóm tin tặc liên kết với nhà nước Nga có tên là Midnight Blizzard thực hiện.
Các cuộc xâm nhập sử dụng dịch vụ proxy dân cư để làm xáo trộn địa chỉ IP nguồn của các cuộc tấn công, nhằm vào các chính phủ, nhà cung cấp dịch vụ CNTT, tổ chức phi chính phủ, quốc phòng và các lĩnh vực sản xuất quan trọng.
Midnight Blizzard trước đây được gọi là Nobelium , cũng được theo dõi dưới các biệt danh APT29, Cozy Bear, Iron Hemlock và The Dukes.
Nhóm đã thu hút sự chú ý trên toàn thế giới về sự thỏa hiệp chuỗi cung ứng SolarWinds vào tháng 12 năm 2020, đã tiếp tục dựa vào công cụ vô hình trong các cuộc tấn công có chủ đích nhằm vào các bộ ngoại giao và tổ chức ngoại giao.
Đó là dấu hiệu cho thấy họ quyết tâm duy trì hoạt động của mình như thế nào mặc dù bị lộ.
"Các cuộc tấn công thông tin xác thực này sử dụng nhiều kỹ thuật đánh cắp mật khẩu, brute-force và đánh cắp mã thông báo", Microsoft cho biết trong một loạt các tweet, đồng thời cho biết thêm rằng kẻ tấn công "cũng đã tiến hành các cuộc tấn công phát lại phiên để có quyền truy cập ban đầu vào tài nguyên đám mây, tận dụng các phiên bị đánh cắp có khả năng có được thông qua bán hàng bất hợp pháp."
Gã khổng lồ công nghệ này còn chỉ trích APT29 về việc sử dụng các dịch vụ proxy dân cư để định tuyến lưu lượng truy cập độc hại nhằm cố gắng làm xáo trộn các kết nối được thực hiện bằng thông tin xác thực bị xâm phạm.
Các nhà sản xuất Windows cho biết: “Tác nhân đe dọa có thể đã sử dụng các địa chỉ IP này trong thời gian rất ngắn, điều này có thể khiến việc xác định phạm vi và khắc phục trở nên khó khăn”.
Diễn biến này diễn ra khi Recorded Future trình bày chi tiết về một chiến dịch lừa đảo trực tuyến mới do APT28 (còn gọi là BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight và Fancy Bear) dàn dựng nhằm vào các tổ chức chính phủ và quân đội ở Ukraine kể từ tháng 11 năm 2021.
Các cuộc tấn công đã tận dụng các email có tệp đính kèm khai thác nhiều lỗ hổng trong phần mềm webmail Roundcube mã nguồn mở ( CVE-2020-12641 , CVE-2020-35730 và CVE-2021-44026 ) để tiến hành do thám và thu thập dữ liệu.
notion image
Một vi phạm thành công đã cho phép tin tặc tình báo quân sự Nga triển khai phần mềm độc hại JavaScript giả mạo chuyển hướng email đến của các cá nhân được nhắm mục tiêu đến địa chỉ email dưới sự kiểm soát của kẻ tấn công cũng như đánh cắp danh sách liên hệ của họ.
“Chiến dịch đã thể hiện mức độ chuẩn bị cao, nhanh chóng vũ khí hóa nội dung tin tức thành mồi nhử để khai thác người nhận” . "Các email lừa đảo có chủ đề tin tức liên quan đến Ukraine, với dòng chủ đề và nội dung phản ánh các nguồn truyền thông hợp pháp."
Quan trọng hơn, hoạt động này được cho là ăn khớp với một loạt các cuộc tấn công khác vũ khí hóa lỗ hổng zero-day trong Microsoft Outlook ( CVE-2023-23397 ) mà Microsoft tiết lộ là được sử dụng trong "các cuộc tấn công có mục tiêu hạn chế" chống lại các tổ chức châu Âu.
Lỗ hổng leo thang đặc quyền đã được xử lý như một phần của bản cập nhật Bản vá Thứ Ba được tung ra vào tháng 3 năm 2023.
Phát hiện này cho thấy những nỗ lực bền bỉ của các tác nhân đe dọa Nga trong việc thu thập thông tin tình báo có giá trị về các thực thể khác nhau ở Ukraine và khắp châu Âu, đặc biệt là sau cuộc xâm lược toàn diện vào quốc gia này vào tháng 2 năm 2022.
Các hoạt động chiến tranh mạng nhằm vào các mục tiêu Ukraine đã được đánh dấu đáng chú ý bằng việc triển khai rộng rãi phần mềm độc hại wiper được thiết kế để xóa và hủy dữ liệu, biến nó thành một trong những trường hợp sớm nhất của xung đột hỗn hợp quy mô lớn.
"BlueDelta gần như chắc chắn sẽ tiếp tục ưu tiên nhắm mục tiêu vào các tổ chức chính phủ và khu vực tư nhân Ukraine để hỗ trợ các nỗ lực quân sự rộng lớn hơn của Nga,"
Nguồn 🔗 TheHackerNews

3. Anatsa Banking Trojan nhắm mục tiêu người dùng ở Mỹ, Anh, Đức, Áo và Thụy Sĩ

notion image
Người ta đã quan sát thấy một chiến dịch phần mềm độc hại Android mới đang đẩy trojan banking Anatsa nhắm mục tiêu đến các khách hàng ngân hàng ở Hoa Kỳ, Vương quốc Anh, Đức, Áo và Thụy Sĩ kể từ đầu tháng 3 năm 2023.
“Những kẻ đứng sau Anatsa nhằm mục đích đánh cắp thông tin đăng nhập được sử dụng để ủy quyền cho khách hàng trong các ứng dụng ngân hàng di động và thực hiện Lừa đảo chiếm đoạt thiết bị (DTO) để bắt đầu các giao dịch gian lận”.
Các ứng dụng trên Google Play Store bị nhiễm Anatsa đã tích lũy được hơn 30.000 lượt cài đặt cho đến nay, cho thấy cửa hàng ứng dụng chính thức đã trở thành một vectơ phân phối hiệu quả cho phần mềm độc hại.
notion image
Anatsa, còn được biết đến với tên TeaBot and Toddler, lần đầu tiên xuất hiện vào đầu năm 2021 giả dạng các ứng dụng tiện ích có vẻ vô hại như trình đọc PDF, máy quét mã QR và ứng dụng xác thực hai yếu tố (2FA) trên Google Play để lấy thông tin đăng nhập của người dùng. Nó nhắm mục tiêu hơn 400 tổ chức tài chính trên toàn thế giới.
Trojan có các khả năng giống như cửa hậu để đánh cắp dữ liệu và cũng thực hiện các cuộc tấn công để đánh cắp thông tin đăng nhập cũng như ghi lại các hoạt động bằng cách lạm dụng quyền của nó đối với API của Android. Nó có thể tiếp tục bỏ qua các cơ chế kiểm soát gian lận hiện có để thực hiện chuyển tiền trái phép.
“Vì các giao dịch được bắt đầu từ cùng một thiết bị mà khách hàng thường xuyên sử dụng, nên hệ thống chống gian lận ngân hàng rất khó phát hiện ra nó”.
Trong chiến dịch mới nhất được quan sát bởi ThreatFabric, ứng dụng sau khi được cài đặt, sẽ đưa ra yêu cầu tới trang GitHub trỏ đến một URL GitHub khác lưu trữ tải trọng độc hại, nhằm mục đích lừa nạn nhân bằng cách ngụy trang thành các tiện ích bổ sung của ứng dụng. Người ta nghi ngờ rằng người dùng được chuyển đến các ứng dụng này thông qua các quảng cáo sơ sài.
notion image
Việc sử dụng quyền "REQUEST_INSTALL_PACKAGES" bị hạn chế, quyền này đã nhiều lần bị các ứng dụng lừa đảo phân phối qua Cửa hàng Google Play khai thác để cài đặt phần mềm độc hại bổ sung trên thiết bị bị nhiễm. Tên của các ứng dụng:
  • All Document Reader & Editor (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
  • All Document Reader and Viewer (com.muchlensoka.pdfcreator)
  • PDF Reader - Edit & View PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
  • PDF Reader & Editor (com.proderstarler.pdfsignature)
  • PDF Reader & Editor (moh.filemanagerrespdf)
Tất cả năm ứng dụng được cho là đã được cập nhật sau lần xuất bản đầu tiên của chúng, có thể là để loại bỏ chức năng độc hại sau khi vượt qua quy trình xem xét ứng dụng trong lần gửi đầu tiên.
Danh sách các quốc gia hàng đầu được Anatsa quan tâm dựa trên số lượng ứng dụng tài chính được nhắm mục tiêu bao gồm Mỹ, Ý, Đức, Anh, Pháp, Các Tiểu vương quốc Ả Rập Thống nhất, Thụy Sĩ, Hàn Quốc, Úc và Thụy Điển. Cũng có mặt trong danh sách là Phần Lan, Singapore và Tây Ban Nha.
“Chiến dịch mới nhất của Anatsa tiết lộ bối cảnh mối đe dọa ngày càng tăng mà các ngân hàng và tổ chức tài chính phải đối mặt trong thế giới kỹ thuật số ngày nay. "Các chiến dịch phân phối Cửa hàng Google Play gần đây cho thấy tiềm năng to lớn của gian lận trên thiết bị di động và sự cần thiết phải có các biện pháp chủ động để chống lại các mối đe dọa đó."
Nguồn 🔗 TheHackerNews

4. Kỹ thuật chèn quy trình Mockingjay mới để tránh sự phát hiện của EDR

Một kỹ thuật chèn quy trình mới có tên 'Mockingjay' có thể cho phép các tác nhân đe dọa vượt qua EDR (Endpoint Detection and Response) và các sản phẩm bảo mật khác để lén lút thực thi mã độc hại trên các hệ thống bị xâm nhập.
Các nhà nghiên cứu tại công ty an ninh mạng Security Joes đã phát hiện ra phương pháp sử dụng các tệp DLL hợp pháp với các phần RWX (đọc, viết, thực thi) để tránh các móc nối EDR và đưa mã vào các quy trình từ xa.
Chèn quy trình là một phương pháp thực thi mã tùy ý trong không gian địa chỉ của một quy trình đang chạy khác được hệ điều hành tin cậy, do đó tạo cho các tác nhân đe dọa khả năng chạy mã độc mà không bị phát hiện.
Ví dụ về các kỹ thuật chèn quy trình bao gồm chèn DLL, chèn PE (có thể thực thi di động), chèn DLL phản chiếu, chiếm quyền điều khiển thực thi luồng, làm rỗng quy trình, chèn bản đồ, chèn APC (gọi thủ tục không đồng bộ) và các kỹ thuật khác.
Trong tất cả các kỹ thuật này, kẻ tấn công phải sử dụng Windows API và các lệnh gọi hệ thống khác nhau, tạo quy trình/luồng, ghi bộ nhớ quy trình. Do đó, các công cụ bảo mật giám sát các hành động cụ thể liên quan đến những điều trên có thể phát hiện các sự cố đáng ngờ và can thiệp khi cần.
Security Joes nói rằng Mockingjay nổi bật so với các cách tiếp cận khác vì nó không sử dụng các lệnh gọi Windows API thường bị lạm dụng, đặt các quyền đặc biệt, thực hiện cấp phát bộ nhớ hoặc thậm chí bắt đầu một chuỗi, do đó loại bỏ nhiều cơ hội phát hiện có thể có.
Mockingjay
Mục tiêu đầu tiên của các nhà nghiên cứu là tìm ra một DLL dễ bị tổn thương với phần RWX mặc định, để họ có thể sửa đổi nội dung của nó để tải mã độc mà không cần thực hiện các bước bổ sung như giành quyền bổ sung, điều này có thể làm tăng cờ đỏ trên phần mềm bảo mật.
Trong quá trình tìm kiếm một DLL phù hợp, các nhà phân tích của Security Joes đã phát hiện ra DLL msys-2.0.dll bên trong Visual Studio 2022 Community, có phần RWX mặc định có kích thước 16 KB.
"Bằng cách tận dụng phần RWX có sẵn này, có thể tận dụng các biện pháp bảo vệ bộ nhớ vốn có mà nó cung cấp, bỏ qua bất kỳ chức năng nào có thể đã được kết nối bởi EDR một cách hiệu quả,"
"Cách tiếp cận này không chỉ tránh được những hạn chế do vùng người dùng áp đặt mà còn thiết lập một môi trường mạnh mẽ và đáng tin cậy cho kỹ thuật tiêm."
Tiếp theo, nhóm đã phát triển hai phương pháp tiêm, một phương pháp tự tiêm và một phương pháp tiêm quy trình từ xa.
Trong trường hợp đầu tiên, một ứng dụng tùy chỉnh ("nightmare.exe") tải tệp DLL dễ bị tấn công trực tiếp vào không gian bộ nhớ của nó bằng cách sử dụng hai lệnh gọi Windows API, cấp cho nó quyền truy cập trực tiếp vào phần RWX mà không cần thực hiện cấp phát bộ nhớ hoặc thiết lập quyền.
Viết mã độc vào phần RWX (Security Joes)
notion image
Tiếp theo, một module hệ thống sạch, NTDLL.DLL, bị lạm dụng để trích xuất các số syscall, sau đó được sử dụng để bỏ qua các hook EDR bằng kỹ thuật "Unhooking EDR của Hell's Gate", cho phép shellcode được tiêm mà không bị phát hiện.
Mã để tạo sơ khai system call để có thể bỏ qua việc sử dụng API(Security Joes)
notion image
Phương pháp thứ hai liên quan đến việc khai thác phần TWX của msys-2.0.dll để đưa tải trọng vào một quy trình từ xa, cụ thể là quy trình "ssh.exe".
Ứng dụng tùy chỉnh khởi chạy ssh.exe dưới dạng một quy trình con, mở một tay cầm cho quy trình đích và đưa mã độc vào không gian bộ nhớ RWX của DLL dễ bị tấn công.
Mã để khởi chạy quy trình mới (Security Joes)
notion image
Cuối cùng, shellcode được đưa vào sẽ tải tệp DLL "MyLibrary.dll", thiết lập một shell đảo ngược với máy của kẻ tấn công làm ví dụ tấn công.
Thiết lập trình bao từ xa trên hệ thống bị vi phạm (Security Joes)
notion image
Các thử nghiệm cho thấy rằng cuộc tấn công tiêm nhiễm từ xa này, không yêu cầu tạo một luồng mới trong quy trình đích, cấp phát bộ nhớ hoặc thiết lập quyền, đã né tránh thành công các giải pháp EDR.
Cả hai phương pháp được đề xuất trong Mockingjay đều sử dụng Windows API chẳng hạn như 'LoadLibraryW', 'CreateProcessW' và 'GetModuleInformation' để tải DLL bị định cấu hình sai và tìm địa chỉ của phần RWX của DLL.
Tuy nhiên, các EDR thường giám sát các API chẳng hạn như 'WriteProcessMemory', 'NtWriteVirtualMemory', 'CreateRemoteThread' hoặc 'NtCreateThreadEx', thường được gọi hơn trong các cuộc tấn công chèn ép quy trình truyền thống. Do đó, Mockingjay ít có khả năng gây báo động hơn.
Sự phát triển của 'Mockingjay' của Joes Security là một dấu hiệu khác cho thấy tại sao các tổ chức phải áp dụng phương pháp bảo mật toàn diện thay vì chỉ dựa vào các giải pháp EDR hiện tại.
Nguồn 🔗 BleepingComputer

5. Lỗ hổng nghiêm trọng SQL injection khiến Gentoo Soko bị thực thi mã từ xa

notion image
Nhiều lỗ hổng SQL injection đã được tiết lộ trong Gentoo Soko có thể dẫn đến thực thi mã từ xa (RCE) trên các hệ thống dễ bị tấn công.
Nhà nghiên cứu của SonarSource: “Những lần tiêm SQL này đã xảy ra mặc dù đã sử dụng thư viện Object-Relational Mapping (ORM) và các câu lệnh đã chuẩn bị sẵn ”.
https://www.sonarsource.com/blog/why-orms-and-prepared-statements-cant-always-win/
Hai vấn đề, được phát hiện trong tính năng tìm kiếm của Soko là CVE-2023-28424 (điểm CVSS: 9,1). Chúng đã được giải quyết trong vòng 24 giờ kể từ khi tiết lộ vào ngày 17 tháng 3 năm 2023.
https://github.com/gentoo/soko/security/advisories/GHSA-45jr-w89p-c843
https://github.com/gentoo/soko/security/advisories/GHSA-gc2x-86p3-mxg2
Soko là một module phần mềm Go cung cấp năng lượng cho packages.gentoo.org, cung cấp cho người dùng một cách dễ dàng để tìm kiếm thông qua các gói Portage khác nhau có sẵn để phân phối cho Gentoo Linux.
Nhưng những thiếu sót được xác định trong dịch vụ là một tác nhân độc hại có thể tiêm mã được chế tạo đặc biệt, dẫn đến việc lộ thông tin nhạy cảm.
SonarSource cho biết: “Việc tiêm SQL có thể bị khai thác và có khả năng tiết lộ phiên bản của máy chủ PostgreSQL và thực thi các lệnh tùy ý trên hệ thống”.
Sự phát triển diễn ra vài tháng sau khi SonarSource phát hiện ra lỗ hổng cross-site scripting (XSS) trong bộ phần mềm kinh doanh nguồn mở có tên Odoo có thể bị khai thác để mạo danh bất kỳ nạn nhân nào trên một phiên bản Odoo dễ bị tấn công cũng như lấy cắp dữ liệu có giá trị.
Đầu năm nay, các điểm yếu bảo mật cũng đã được tiết lộ trong phần mềm nguồn mở như Pretalx và OpenEMR có thể mở đường cho những kẻ tấn công từ xa thực thi mã tùy ý.
Nguồn 🔗 TheHackerNews

6. NPM gặp rủi ro từ các cuộc tấn công “Manifest Confusion”

Registry NPM (Node Package Manager) gặp phải lỗi bảo mật được gọi là "manifest confusion", làm suy yếu độ tin cậy của các gói và giúp kẻ tấn công có thể ẩn phần mềm độc hại trong phần phụ thuộc hoặc thực hiện tập lệnh độc hại trong khi cài đặt.
NPM là trình quản lý gói cho ngôn ngữ lập trình JavaScript và là mặc định cho môi trường Node.js được sử dụng rộng rãi. Trình quản lý gói giúp chủ dự án tự động cài đặt, nâng cấp và cấu hình các gói phần mềm được lưu trữ trên cơ sở dữ liệu "npm registry" tại npmjs.com.
Vào năm 2020, nền tảng này đã được Microsoft mua lại thông qua GitHub, ước tính có hơn 17 triệu nhà phát triển phần mềm trên toàn thế giới đang sử dụng nó, tải xuống 208 tỷ gói mỗi tháng.
Registry NPM cũng rất phổ biến đối với các nhà phát triển vì nó chứa nhiều loại gói có thể được sử dụng để mở rộng các tính năng của ứng dụng mà không yêu cầu công việc phát triển bổ sung.
Tuy nhiên, mức độ phổ biến của nó khiến nó trở thành mục tiêu hàng đầu cho các tác nhân đe dọa phân phối các gói độc hại nhằm chiếm đoạt máy tính của nhà phát triển, đánh cắp thông tin đăng nhập hoặc thậm chí triển khai phần mềm tống tiền .
Manifest confusion
Manifest confusion về tệp kê khai xảy ra do có sự không nhất quán giữa thông tin tệp kê khai của gói được trình bày trên registry npm và tệp 'package.json' thực tế trong tarball của gói npm đã xuất bản được sử dụng khi gói được cài đặt.
Cả dữ liệu kê khai được gửi tới NPM khi xuất bản gói và package.json đều chứa thông tin về tên package, version và metadata khác, chẳng hạn như tập lệnh được sử dụng trong việc deployment, build dependencies.
Cả hai được gửi riêng đến registry npm và nền tảng không xác thực nếu chúng khớp nhau, vì vậy dữ liệu của chúng có thể khác nhau và không ai có thể biết trừ khi họ xem xét kỹ lưỡng nội dung của chúng.
Điều này cho phép tác nhân đe dọa sửa đổi dữ liệu kê khai được gửi bằng một package mới để xóa các phần phụ thuộc và tập lệnh để chúng không xuất hiện trong registry NPM. Tuy nhiên, các tập lệnh và phần dependencies vẫn tồn tại trong tệp pack.json và sẽ được thực thi khi gói được cài đặt.
"manifest confusion" cho thấy rằng không có phần phụ thuộc nào được liệt kê trên NPM đối với gói chứng minh khái niệm của Clarke, mặc dù có các phần phụ thuộc được liệt kê trong package.json.
Ví dụ về dữ liệu kê khai bị thao túng (blog.vlt.sh)
notion image
Các rủi ro phát sinh từ sự không nhất quán của "manifest confusion" bao gồm nhiễm độc bộ đệm, cài đặt các phần phụ thuộc không xác định, thực thi các tập lệnh không xác định và cũng có thể là các cuộc tấn công hạ cấp.
"manifest confusion cũng cho phép kẻ tấn công bao gồm các tập lệnh cài đặt ẩn. Các tập lệnh ẩn và phần phụ thuộc này sẽ không hiển thị trên trang web npm hoặc trong hầu hết các công cụ bảo mật, mặc dù chúng sẽ được cài đặt bởi CLI npm."
Cộng đồng npm và tất cả các trình quản lý gói chính, bao gồm npm@6, npm@9, yarn@1 và pnpm@7, đều bị ảnh hưởng bởi sự cố này.
npm@6 đang thực thi tập lệnh cài đặt không có trong tệp kê khai hoặc ngược lại  (blog.vlt.sh)
notion image
Điều này dẫn đến sự thiếu tin tưởng vào registry NPM vì các thành phần phụ thuộc, số phiên bản và thậm chí cả tên gói có thể không chính xác.
Thay vào đó, các nhà phát triển nên đọc package.json theo cách thủ công để xác định số phiên bản, phần phụ thuộc nào sẽ được cài đặt và tập lệnh nào sẽ được thực thi.
Vấn đề vẫn chưa được khắc phục
Clarke cho biết GitHub đã biết về các sự cố nhầm lẫn tệp kê khai ít nhất là từ năm 2022 và một báo cáo lỗi được gửi trên kho lưu trữ GitHub của npm CLI liên quan đến  node-canvas gói dường như xác nhận điều đó.
Kỹ sư đã gửi một báo cáo HackerOne chi tiết trình bày các ví dụ về sự cố vào ngày 9 tháng 3 năm 2023.
Vào ngày 21 tháng 3 năm 2023, GitHub đã đóng yêu cầu, trả lời rằng họ đang xử lý vấn đề nội bộ. Tuy nhiên, họ vẫn chưa khắc phục các rủi ro và chưa thông báo cho cộng đồng npm.
Clarke đề cập rằng do kích thước quá lớn của npm và thực tế là nó đã tuân theo phương pháp không an toàn này trong nhiều năm, nên việc giải quyết vấn đề này không hề đơn giản.
Cho đến khi GitHub tạo ra một kế hoạch để giải quyết sự nhầm lẫn rõ ràng trên npm, Clarke gợi ý rằng các tác giả và người duy trì các gói loại bỏ sự phụ thuộc vào dữ liệu kê khai và thay vào đó lấy nguồn tất cả siêu dữ liệu ngoài tên và phiên bản từ các tệp 'pack.json' ít bị ảnh hưởng hơn thao tác.
Một biện pháp bảo vệ khác là sử dụng proxy đăng ký giữa cơ sở dữ liệu gói và ứng dụng khách npm, có thể thực hiện kiểm tra và xác thực bổ sung để đảm bảo tính nhất quán giữa dữ liệu kê khai và thông tin trong tarball của gói.
Nguồn 🔗 BleepingComputer

7. Tình trạng hiện tại của các cuộc tấn công thỏa hiệp email doanh nghiệp

Thỏa hiệp email doanh nghiệp - Business Email Compromise (BEC) gặp mối đe dọa ngày càng tăng đối với các doanh nghiệp thuộc mọi quy mô. Vì các cuộc tấn công BEC đã tăng gần gấp đôi trên toàn bộ bộ dữ liệu sự cố DBIR của Verizon và chiếm hơn 50% các sự cố trong mô hình kỹ thuật xã hội.
Những kẻ tấn công sử dụng nhiều chiến thuật khác nhau để truy cập thông tin nhạy cảm, chẳng hạn như thỏa hiệp tài khoản email và sử dụng địa chỉ email hợp pháp để bắt đầu cuộc tấn công.
Các cuộc tấn công BEC có thể xảy ra theo nhiều cách khác nhau, sử dụng nhiều phương pháp khác nhau. Nhưng điều khiến chúng khác biệt và được cho là nguy hiểm hơn là chúng được điều khiển bởi mục đích. Các cuộc tấn công BED nhắm vào các cá nhân cụ thể trong các tổ chức và có các thông điệp thường được cá nhân hóa cho nạn nhân.
Những chiến lược này bao gồm giả mạo email hoặc trang web hiện có hoặc lừa đảo trực tuyến (sử dụng email đến từ các nguồn đáng tin cậy).
Nhận biết một cuộc tấn công thỏa hiệp email doanh nghiệp
Điều hành một doanh nghiệp rất phức tạp và với rất nhiều bộ phận chuyển động, kẻ tấn công có thể thử các góc độ khác nhau, nhắm mục tiêu vào các giám đốc điều hành cấp C, bộ phận vận chuyển, thanh toán hoặc CNTT.
Cả mối đe dọa bên trong và bên ngoài đều có thể xảy ra nhưng 83% vi phạm liên quan đến các tác nhân bên ngoài với động cơ Tài chính.
  • Giả mạo CEO
Kiểu tấn công này liên quan đến một tác nhân đe dọa mạo danh một cá nhân trong C-suite, chẳng hạn như Giám đốc điều hành hoặc Giám đốc tài chính của một công ty. Kẻ tấn công sau đó sẽ gửi email cho một cá nhân trong bộ phận tài chính yêu cầu chuyển tiền.
Số tiền được chuyển sẽ được chuyển đến một tài khoản do kẻ tấn công kiểm soát.
Để làm cho cuộc tấn công hiệu quả hơn, kẻ đe dọa có thể đã nghiên cứu các mục tiêu của họ và cố gắng khớp ngôn ngữ, thuật ngữ, phong cách và địa chỉ email của họ càng gần càng tốt.
Nếu mục tiêu không chú ý, họ có thể mắc mưu và chuyển tiền.
  • Thỏa hiệp tài khoản
Trong một cuộc tấn công ngầm, kẻ tấn công có thể xâm phạm tài khoản email của nhân viên hiện có từ bên trong. Với quyền truy cập vào tài khoản bị xâm phạm này, kẻ tấn công sau đó có thể yêu cầu thanh toán cho các nhà cung cấp là tài khoản do kẻ tấn công kiểm soát.
Chẳng hạn, Joe trong bộ phận mua hàng có thể bị xâm phạm tài khoản của họ. Sau đó, email của anh ấy có thể gửi nhiều yêu cầu thanh toán giống như yêu cầu thanh toán tiêu chuẩn tới nhà cung cấp, thường là với số tiền nhỏ hơn.
Vì yêu cầu đến từ một tài khoản đáng tin cậy nên việc lập hóa đơn có thể không xem xét kỹ lưỡng và thanh toán cho nhà cung cấp. Ngoài ra, các công ty lớn hơn có thể cần nhiều tài nguyên hơn để kiểm tra mọi yêu cầu, dẫn đến nhiều yêu cầu bị bỏ lỡ.
  • Hóa đơn sai
Kẻ tấn công có thể gửi email cho một công ty yêu cầu thanh toán hóa đơn, nhấn mạnh rằng hóa đơn đó đã quá hạn đối với các dịch vụ được cung cấp.
Bộ phận thanh toán có thể không nghĩ đến việc thanh toán, đặc biệt nếu email và hóa đơn có vẻ hợp pháp và bắt chước hóa đơn của các nhà cung cấp trước đó.
Ngoài ra, tệp PDF đính kèm có thể chứa phần mềm độc hại, cho phép tấn công xâm phạm tài khoản.
  • Mạo danh luật sư
Trong khi hầu hết các cuộc tấn công trong lĩnh vực này tập trung vào chuỗi cung ứng của nhà cung cấp, cuộc tấn công này nhắm vào sự bất an tự nhiên của nhiều người khi xử lý các vấn đề pháp lý.
Một luật sư được cho là sẽ liên hệ với mục tiêu và yêu cầu thanh toán để dàn xếp hoặc đe dọa hành động pháp lý nếu không nhận được khoản thanh toán.
Thay vì có nguy cơ làm trái luật hoặc bị lôi kéo vào một vụ kiện, một số nhân viên có thể trả các khoản tiền được yêu cầu để tránh các vấn đề. Các trường hợp có thể cực kỳ tốn kém, vì vậy trả số tiền thấp hơn có thể là một lựa chọn hấp dẫn để giải quyết vấn đề mà không cần thuê luật sư đắt tiền của công ty.
  • Trộm cắp dữ liệu
Một cuộc tấn công điển hình nhắm vào nhân viên nhân sự liên quan đến hành vi trộm cắp dữ liệu. Mục tiêu là thu thập thông tin cá nhân và thông tin nhạy cảm về các cá nhân ở các vị trí quyền lực cho mục đích do thám.
Với thông tin này, kẻ tấn công có thể khởi động các kế hoạch tinh vi hơn, chẳng hạn như Lừa đảo CEO, bằng cách tận dụng các chi tiết thân mật mà họ có được để làm cho email của họ có vẻ đáng tin cậy hơn.
  • Thỏa hiệp email doanh nghiệp
Các cuộc tấn công BEC là một loại tấn công kỹ thuật xã hội diễn ra qua email. Kẻ tấn công giả mạo một thông báo email để lừa nạn nhân thực hiện một số hành động.
Trong những tình huống này, mục tiêu không chỉ là để mục tiêu thực hiện tác vụ được yêu cầu mà còn làm xâm nhập máy tính của họ để tấn công doanh nghiệp trong tương lai. Một máy tính bị xâm nhập có thể nhanh chóng cung cấp thông tin cá nhân về nhân viên và công ty.
Chẳng hạn, với một tài khoản email bị xâm phạm, kẻ tấn công có thể thấy rằng một công ty làm việc với một nhà cung cấp cụ thể. Sau đó, kẻ tấn công có thể tạo một email từ tài khoản bị xâm nhập và gửi nó đến bộ phận thanh toán, yêu cầu thanh toán cho cùng một nhà cung cấp nhưng đến tài khoản do kẻ tấn công kiểm soát.
Vì vậy, một công ty có thể làm gì để bảo vệ chống lại loại hành vi trộm cắp này? Cùng với việc cung cấp giáo dục chuyên sâu về các loại tấn công và kỹ thuật xã hội cần thiết để thực hiện hành vi trộm cắp này, một công ty cần có cơ sở hạ tầng bảo mật mạnh mẽ nếu tài khoản bị xâm phạm. Điều này bao gồm việc triển khai các chính sách mật khẩu mạnh để ngăn chặn việc sử dụng thông tin xác thực bị xâm phạm trong các cuộc tấn công.
  • Bảo vệ tài khoản người dùng bằng chính sách mật khẩu Specops
Các cuộc tấn công Thỏa hiệp Email Doanh nghiệp (BEC) có thể có tác động tàn phá đối với doanh nghiệp và điều cần thiết là phải thực hiện các bước để giảm thiểu rủi ro .
Mật khẩu tiếp tục là một yếu tố quan trọng, vì 49% vi phạm do các tác nhân bên ngoài thực hiện liên quan đến việc sử dụng thông tin đăng nhập bị đánh cắp, do đó, điều quan trọng là phải thực thi các chính sách mật khẩu mạnh.
Chính sách mật khẩu Specops với Bảo vệ mật khẩu bị xâm phạm, giúp tăng cường bảo mật mật khẩu trong môi trường Microsoft Active Directory, chặn hơn ba tỷ mật khẩu đã bị xâm phạm đã biết.
  • Chính sách mật khẩu Specops
notion image
Công cụ này mở rộng chức năng của Chính sách nhóm và đơn giản hóa việc quản lý các chính sách mật khẩu chi tiết đồng thời cung cấp phản hồi của người dùng cuối theo thời gian thực khi tạo mật khẩu.
Sự nguy hiểm của các cuộc tấn công thỏa hiệp email doanh nghiệp Khi ngày càng có nhiều doanh nghiệp chuyển sang trực tuyến, các cuộc tấn công Thỏa hiệp email doanh nghiệp (BEC) sẽ ngày càng trở nên phổ biến hơn và khó phát hiện hơn.
Tuy nhiên, với sự giáo dục và cảnh giác thích hợp từ phía nhân viên, kết hợp với chính sách mật khẩu mạnh mẽ, chẳng hạn như chính sách được cung cấp bởi Chính sách mật khẩu của Specops , các cuộc tấn công này có thể được giảm thiểu.
Các tổ chức muốn tránh trở thành mục tiêu của một cuộc tấn công như vậy, đặc biệt là cuộc tấn công có thể dẫn đến tổn thất tài chính lớn vì 95% tất cả các vi phạm là do tài chính.
Bằng cách tìm hiểu về các loại tấn công và thực hiện các biện pháp phòng ngừa, có thể đảm bảo doanh nghiệp được bảo vệ tốt hơn.
Nguồn 🔗 BleepingComputer

8. Nhóm ransomware 8Base thực hiện leo thang các cuộc tấn công tống tiền vào tháng 6

Một nhóm ransomware 8Base đang nhắm mục tiêu vào các tổ chức trên toàn thế giới trong các cuộc tấn công tống tiền kép, với một lượng nạn nhân mới ổn định kể từ đầu tháng Sáu.
Nhóm ransomware lần đầu tiên xuất hiện vào tháng 3 năm 2022, tương đối im ắng với một vài cuộc tấn công đáng chú ý.
Tuy nhiên, vào tháng 6 năm 2023, hoạt động của ransomware đã tăng đột biến, nhắm mục tiêu vào nhiều công ty trong các ngành khác nhau và thực hiện hành vi tống tiền kép.
Cho đến nay 8Base đã liệt kê 35 nạn nhân trên trang web tống tiền dark web của mình, với một số ngày thông báo có tới 6 nạn nhân cùng một lúc.
Đây là mức tăng đáng chú ý so với tháng 3 và tháng 4, khi nhóm chỉ liệt kê một số ít nạn nhân, như thể hiện trong biểu đồ bên dưới.
Hoạt động 8Base kể từ tháng 3 năm 2022 (VMware)
notion image
Trang web rò rỉ dữ liệu của băng nhóm ra mắt vào tháng 5 năm 2023, với nhóm tống tiền tự xưng là những người kiểm tra "trung thực và đơn giản".
Trang web rò rỉ dữ liệu của họ cho biết: "Chúng tôi là những người kiểm tra trung thực và đơn giản. Chúng tôi cung cấp cho các công ty những điều kiện trung thành nhất để trả lại dữ liệu của họ".
"Danh sách này chỉ chứa những công ty đã bỏ qua quyền riêng tư và tầm quan trọng của dữ liệu của nhân viên và khách hàng của họ."
Trang web rò rỉ dữ liệu 8Base trên darkweb
notion image
Liên kết đến các nhóm ransomware khác
Trong một báo cáo mới của nhóm Carbon Black của VMware, các chiến thuật được thấy trong các cuộc tấn công 8Base gần đây cho thấy chúng là thương hiệu của một tổ chức ransomware có uy tín, có khả năng là RansomHouse.
RansomHouse là một nhóm tống tiền tuyên bố không tiến hành các cuộc tấn công mã hóa mà thay vào đó hợp tác với các hoạt động của ransomware để bán dữ liệu của họ. Tuy nhiên, BleepingComputer nhận thức được các tác nhân đe dọa sử dụng ransomware trong các cuộc tấn công, chẳng hạn như White Rabbit hoặc MARIO, cũng được liên kết với nhóm tội phạm mạng FIN8.
VMware nghi ngờ 8Base là một nhánh của RansomHouse dựa trên các ghi chú đòi tiền chuộc giống hệt nhau được sử dụng bởi hai nhóm cũng như ngôn ngữ và nội dung rất giống nhau được thấy trên các trang web rò rỉ tương ứng, nơi mà ngay cả các trang Câu hỏi thường gặp cũng dường như đã được sao chép.
Các trang Câu hỏi thường gặp về RansomHouse (trái) và 8Base (phải) (VMware)
notion image
Tuy nhiên, không có đủ bằng chứng để xác định xem 8Base được tạo ra bởi các thành viên RansomHouse hay chỉ đơn giản là một hoạt động ransomware khác sao chép các mẫu của một nhóm đã được thiết lập, điều này không hiếm gặp giữa các tác nhân đe dọa.
Từ góc độ kỹ thuật, 8Base sử dụng phiên bản tùy chỉnh của mã độc tống tiền Phobos v2.9.1, được tải qua SmokeLoader.
Phobos là một hoạt động RaaS nhắm mục tiêu đến Windows, xuất hiện lần đầu tiên vào năm 2019 và có nhiều điểm tương đồng về mã với hoạt động của ransomware Dharma.
Khi mã hóa tệp, phần mềm tống tiền sẽ nối thêm  phần mở rộng .8base  trong các cuộc tấn công gần đây. Tuy nhiên, chuyên gia về ransomware Michael Gillespie nói rằng mã độc tống tiền Phobos đệ trình trên ID Ransomware cũng sử dụng  phần mở rộng .eight  trong các cuộc tấn công cũ hơn.
Trong cả hai cuộc tấn công mới hơn nối thêm phần mở rộng .8base và các cuộc tấn công có phần mở rộng .eight cũ hơn, cùng một địa chỉ email liên hệ "helpermail@onionmail.org" đã được sử dụng từ tháng 6 năm 2022.
Một phát hiện đáng chú ý khác của các nhà phân tích của VMware là 8Base sử dụng miền "admlogs25[.]xyz" để lưu trữ tải trọng, miền này được liên kết với SystemBC, một phần mềm độc hại proxy được một số nhóm ransomware sử dụng để làm xáo trộn C2.
Những phát hiện này cho thấy các nhà khai thác 8Base đã tiến hành các cuộc tấn công mã hóa trong ít nhất một năm nhưng chỉ gần đây mới tạo được tên tuổi sau khi tung ra trang web rò rỉ dữ liệu của họ.
8Base hiện chỉ mới bắt đầu được các nhà phân tích chú ý, vì vậy nhiều khía cạnh về bản chất kỹ thuật của nó vẫn chưa được biết hoặc chưa rõ ràng.
Báo cáo của VMware chứa các chỉ báo về sự xâm phạm (IoC) mà những người bảo vệ có thể sử dụng để bảo vệ hệ thống của họ khỏi mối đe dọa đang gia tăng này.
Nguồn 🔗 BleepingComputer

9. Phiên bản Linux của phần mềm tống tiền Akira nhắm vào các máy chủ VMware ESXi

Hoạt động của phần mềm tống tiền Akira sử dụng bộ mã hóa Linux để mã hóa các máy ảo VMware ESXi trong các cuộc tấn công tống tiền kép nhằm vào các công ty trên toàn thế giới.
Akira lần đầu tiên xuất hiện vào tháng 3 năm 2023, nhắm mục tiêu đến các hệ thống Windows trong nhiều ngành khác nhau, bao gồm giáo dục, tài chính, bất động sản, sản xuất và tư vấn.
Giống như các nhóm ransomware nhắm mục tiêu vào doanh nghiệp khác, những kẻ đe dọa đánh cắp dữ liệu từ các mạng bị vi phạm và mã hóa các tệp để tiến hành tống tiền nạn nhân hai lần, yêu cầu các khoản thanh toán lên tới vài triệu đô la.
Kể từ khi ra mắt, hoạt động của ransomware đã cướp đi hơn 30 nạn nhân chỉ riêng ở Hoa Kỳ, với hai hoạt động khác biệt tăng đột biến trong các lần gửi ID Ransomware vào cuối tháng 5 và hiện tại.
Hoạt động của Akira trong những tháng qua
notion image
Akira nhắm đến VMware ESXi
Phiên bản Linux của Akira lần đầu tiên được phát hiện bởi nhà phân tích phần mềm độc hại rivitna, người đã chia sẻ một mẫu mã hóa mới trên VirusTotal vào tuần trước.
Phân tích của BleepingComputer về bộ mã hóa Linux cho thấy nó có tên dự án là 'Esxi_Build_Esxi6', cho biết các tác nhân đe dọa đã thiết kế nó đặc biệt để nhắm mục tiêu vào các máy chủ VMware ESXi.
Ví dụ: một trong các tệp mã nguồn của dự án là /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h .
Trong vài năm qua, các nhóm ransomware đã ngày càng tạo ra các bộ mã hóa Linux tùy chỉnh để mã hóa máy chủ VMware ESXi khi doanh nghiệp chuyển sang sử dụng máy ảo cho máy chủ để cải thiện quản lý thiết bị và sử dụng tài nguyên hiệu quả.
Bằng cách nhắm mục tiêu vào các máy chủ ESXi, kẻ đe dọa có thể mã hóa nhiều máy chủ chạy dưới dạng máy ảo trong một lần chạy bộ mã hóa ransomware.
Tuy nhiên, không giống như các bộ mã hóa VMware ESXi khác được BleepingComputer phân tích, bộ mã hóa của Akira không có nhiều tính năng nâng cao, chẳng hạn như tự động tắt máy ảo trước khi mã hóa tệp bằng lệnh esxcli.
Tệp nhị phân hỗ trợ một vài đối số dòng lệnh cho phép kẻ tấn công tùy chỉnh các cuộc tấn công của chúng:
  • -p --encryption_path (đường dẫn tệp/thư mục được nhắm mục tiêu)
  • -s --share_file (đường dẫn ổ đĩa mạng được nhắm mục tiêu)
  • -n --encryption_percent (phần trăm mã hóa)
  • --fork (tạo tiến trình con để mã hóa)
Tham số -n đặc biệt đáng chú ý vì nó cho phép kẻ tấn công xác định lượng dữ liệu được mã hóa trên mỗi tệp.
Cài đặt đó càng thấp, tốc độ mã hóa càng nhanh, nhưng càng có nhiều khả năng nạn nhân sẽ có thể khôi phục các tệp gốc của họ mà không phải trả tiền chuộc.
Các tệp được mã hóa bởi Akira trên máy chủ Linux
notion image
Khi mã hóa tệp, bộ mã hóa Linux Akira sẽ nhắm mục tiêu các phần mở rộng sau:
.4dd, .accdb, .accdc, .accde, .accdr, .accdt, .accft, .adb, .ade, .adf, .adp, .arc,
.ora, .alf, .ask, .btr, .bdf, .cat, .cdb, .ckp, .cma, .cpd, .dacpac, .dad,
.dadiagrams, .daschema, .db-shm, .db-wa, .db3, .dbc, .dbf, .dbs, .dbt, .dbv, .dbx,
.dcb, .dct, .dcx, .dlis, .dp1, .dqy, .dsk, .dsn, .dtsx, .eco, .ecx, .edb, .epim,
.exb, .fcd, .fdb, .fic, .fmp, .fmp12, .fmps, .fp3, .fp4, .fp5, .fp7, .fpt, .frm,
.gdb, .grdb, .gwi, .hdb, .his, .idb, .ihx, .itdb, .itw, .jet, .jtx, .kdb, .kexi,
.kexic, .kexis, .lgc, .lwx, .maf, .maq, .mar, .mas, .mav, .mdb, .mdf, .mpd, .mrg,
.mud, .mwb, .myd, .ndf, .nnt, .nrmlib, .ns2, .ns3, .ns4, .nsf, .nv2, .nwdb, .nyf,
.odb, .oqy, .orx, .owc, .p96, .p97, .pan, .pdb, .pdm, .pnz, .qry, .qvd, .rbf,
.rctd, .rod, .rodx, .rpd, .rsd, .sas7bdat, .sbf, .scx, .sdb, .sdc, .sdf, .sis,
.spq, .sqlite, .sqlite3, .sqlitedb, .temx, .tmd, .tps, .trc, .trm, .udb, .usr,
.v12, .vis, .vpd, .vvv, .wdb, .wmdb, .wrk, .xdb, .xld, .xmlff, .abcddb, .abs,
.abx, .accdw, .adn, .db2, .fm5, .hjt, .icg, .icr, .lut, .maw, .mdn, .mdt, .vdi,
.vhd, .vmdk, .pvm, .vmem, .vmsn, .vmsd, .nvram, .vmx, .raw, .qcow2, .subvo, .bin,
.vsv, .avhd, .vmrs, .vhdx, .avdx, .vmcx, .iso
Trình khóa Linux dường như bỏ qua các thư mục và tệp sau, tất cả đều liên quan đến các thư mục và tệp thực thi của Windows, cho thấy rằng biến thể Akira của Linux đã được chuyển từ phiên bản Windows.
winnt, temp, thumb, $Recycle.Bin, $RECYCLE.BIN, System Volume Information,
Boot, Windows, Trend Micro, .exe, .dll, .lnk, .sys, .msi
Các nhà phân tích của Cyble giải thích rằng bộ mã hóa bao gồm khóa mã hóa RSA công khai và tận dụng nhiều thuật toán khóa đối xứng để mã hóa tệp, bao gồm AES, CAMELLIA, IDEA-CB và DES.
Khóa đối xứng được sử dụng để mã hóa các tệp của nạn nhân và sau đó được mã hóa bằng khóa công khai RSA. Điều này ngăn chặn quyền truy cập vào khóa giải mã trừ khi có khóa giải mã riêng RSA chỉ do những kẻ tấn công nắm giữ.
Khóa RSA công khai được sử dụng bởi Akira (Cyble)
notion image
Các tệp được mã hóa sẽ được đổi tên để có phần mở rộng .akira và ghi chú đòi tiền chuộc được mã hóa cứng có tên akira_readme.txt sẽ được tạo trong mỗi thư mục trên thiết bị được mã hóa.
Ghi chú đòi tiền chuộc của Akiratrên máy chủ Linux
notion image
Việc mở rộng phạm vi nhắm mục tiêu của Akira được phản ánh trong số lượng nạn nhân được nhóm công bố gần đây, điều này chỉ khiến mối đe dọa trở nên nghiêm trọng hơn đối với các tổ chức trên toàn thế giới.
Thật không may, việc thêm hỗ trợ Linux là một xu hướng đang phát triển trong các nhóm ransomware, với nhiều người sử dụng các công cụ sẵn có để làm điều đó, vì đây là một cách dễ dàng và gần như hoàn hảo để tăng lợi nhuận.
Các hoạt động ransomware khác sử dụng bộ mã hóa ransomware Linux, với hầu hết nhắm mục tiêu vào VMware ESXi, bao gồm Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX và Hive.
Nguồn 🔗 BleepingComputer

10. Microsoft Sysmon phát hiện tệp thực thi được tạo

Microsoft đã phát hành Sysmon 15, chuyển đổi nó thành một quy trình được bảo vệ và thêm tùy chọn 'FileExecutableDetected' mới để ghi nhật ký khi các tệp thực thi được tạo.
Sysmon (System Monitor) là một công cụ Microsoft Sysinternals miễn phí có thể giám sát và chặn hoạt động độc hại/đáng ngờ và ghi các sự kiện vào Windows Event Log.
Theo mặc định, Sysmon giám sát các sự kiện cơ bản như tạo quy trình mới và chấm dứt quy trình. Tuy nhiên, có thể tạo các tệp cấu hình nâng cao cho phép theo dõi các hành vi khác nhau, chẳng hạn như xóa tệp, thay đổi khay nhớ tạm của Windows cũng như phát hiện và chặn việc chia nhỏ tệp.
Người dùng có thể tìm thấy danh sách đầy đủ các chỉ thị trong lược đồ Sysmon, có thể xem danh sách này bằng cách chạy lệnh sysmon -s tại dòng lệnh.
Hôm qua, Microsoft đã phát hành Sysmon 15.0, bao gồm hai tính năng mới - làm cứng chương trình bằng cách biến nó thành một quy trình được bảo vệ và khả năng phát hiện khi các tệp thực thi được tạo trên hệ thống được giám sát.
Sysmon hiện là một quy trình được bảo vệ
Vì Sysmon thường được sử dụng để phát hiện hành vi nguy hiểm, nên lợi ích tốt nhất của các tác nhân đe dọa là giả mạo hoặc vô hiệu hóa phần mềm.
Với bản phát hành này, Microsoft đã chuyển đổi tệp thực thi Sysmon.exe thành một quy trình được bảo vệ để ngăn mã độc xâm nhập vào quy trình.
"Trong Windows 8.1, một khái niệm mới về dịch vụ được bảo vệ đã được giới thiệu để cho phép các dịch vụ ở chế độ người dùng chống phần mềm độc hại được khởi chạy dưới dạng dịch vụ được bảo vệ"
"Sau khi dịch vụ được khởi chạy dưới dạng được bảo vệ, Windows sử dụng tính toàn vẹn của mã để chỉ cho phép mã đáng tin cậy tải vào dịch vụ được bảo vệ. Windows cũng bảo vệ các quy trình này khỏi việc tiêm mã và các cuộc tấn công khác từ các quy trình quản trị."
Sau khi Sysmon được khởi chạy, có thể thấy đây là một quy trình được bảo vệ bằng cách sử dụng Process Explorer và kiểm tra các thuộc tính Bảo mật của nó.
Sysmon chạy dưới dạng quy trình PPL
notion image
Dựa trên Process Explorer, Sysmon đang chạy dưới dạng quy trình PPL ( PROTECTED_ANTIMALWARE_LIGHT )
Phát hiện các tập tin thực thi mới
Hệ thống 15.0 cũng nâng cấp lược đồ Sysmon lên phiên bản 4.90, hiện bao gồm tùy chọn cấu hình 'FileExecutableDetected' để phát hiện việc tạo các tệp thực thi trên thiết bị được giám sát.
<event name="SYSMONEVENT_FILE_EXE_DETECTED" value="29" level="Informational" template="File Executable Detected" rulename="FileExecutableDetected" version="5">
      <data name="RuleName" inType="win:UnicodeString" outType="xs:string" />
      <data name="UtcTime" inType="win:UnicodeString" outType="xs:string" />
      <data name="ProcessGuid" inType="win:GUID" />
      <data name="ProcessId" inType="win:UInt32" outType="win:PID" />
      <data name="User" inType="win:UnicodeString" outType="xs:string" />
      <data name="Image" inType="win:UnicodeString" outType="xs:string" />
      <data name="TargetFilename" inType="win:UnicodeString" outType="xs:string" />
      <data name="Hashes" inType="win:UnicodeString" outType="xs:string" />
    </event>
Ví dụ: để sử dụng lệnh FileExecutableDetected mới để phát hiện các tệp thực thi mới được tạo trong thư mục C:\ProgramData\ và C:\Users\, có thể sử dụng tệp cấu hình sau:
<Sysmon schemaversion="4.90">
  <!-- Capture all hashes -->
  <HashAlgorithms>MD5,SHA256</HashAlgorithms>
  <EventFiltering>
    <!-- Log executable file creations -->
    <FileExecutableDetected onmatch="include">
    <TargetFilename condition="begin with">C:\ProgramData\</TargetFilename>
        <TargetFilename condition="begin with">C:\Users\</TargetFilename>
    </FileExecutableDetected>
  </EventFiltering>
</Sysmon>
Để khởi động Sysmon và chỉ đạo nó sử dụng tệp cấu hình ở trên, thực thi lệnh sysmon -i và chuyển tên của tệp cấu hình.
Trong ví dụ, tên của tệp cấu hình là sysmon.conf , vì vậy sẽ sử dụng lệnh sau từ Administrative Command Prompt để khởi động Sysmon:
sysmon -i sysmon.conf
Sau khi bắt đầu, Sysmon sẽ cài đặt trình điều khiển của nó và âm thầm thu thập dữ liệu trong nền.
Tất cả các sự kiện Sysmon sẽ được ghi vào 'Applications and Services Logs/Microsoft/Windows/Sysmon/Operational’ trong Event Viewer.
Khi bật tính năng FileExecutableDetected, khi một tệp thực thi mới được tạo trong thư mục C:\ProgramData hoặc C:\Users\ (và bất kỳ thư mục con nào của chúng), Sysmon sẽ tạo một tệp thực thi và khớp với một quy tắc, Sysmon sẽ chặn tệp thực thi đó và tạo ‘Event 29, File Executable Detected’ trong Event Viewer.
Sysmon event 29 -File Executable Detected
notion image
Các mục Event Log được tạo sẽ chứa nhiều thông tin có giá trị, được giải thích bên dưới:
  • UtcTime : Thời gian sự kiện được phát hiện.
  • ProcessID : PID của quá trình đang cố gắng tạo tệp thực thi.
  • User : Người dùng được liên kết với quá trình tạo tệp.
  • Image : Tên tệp của chương trình tạo tệp.
  • TargetFilename : Tệp thực thi đã được tạo. Lưu ý: tệp luôn được hiển thị dưới tên tệp tạm thời.
  • Hash : Hàm băm của tệp đang được tạo. Giá trị băm được hiển thị sẽ phụ thuộc vào cài đặt cấu hình Thuật toán băm.
Đối với những người muốn có tệp cấu hình Sysmon tạo sẵn sử dụng tính năng này để phát hiện khi phần mềm độc hại đã biết hoặc phần mềm thực thi công cụ hack được tạo, có thể sử dụng cấu hình Sysmon của nhà nghiên cứu bảo mật Florian Roth .
Tìm hiểu thêm về Symon
Sysmon là một công cụ giám sát mạng tiên tiến với rất nhiều chỉ thị cho phép tạo các tệp cấu hình đáp ứng nhu cầu của tổ chức.
Do tính phức tạp của chương trình, nên đọc tài liệu Sysmon và tìm hiểu các tùy chọn cấu hình để xem các chỉ thị khác nhau hoạt động như thế nào.
Sysmon không phải là một chương trình có tài liệu tốt, yêu cầu người dùng tiến hành thử và sai để kiểm tra các tính năng và xem những sự kiện nào được ghi vào nhật ký sự kiện.
Sysmon sẽ không tải tệp cấu hình bị định cấu hình sai, vì vậy nếu thấy thông báo "Configuration file validated" khi tải Sysmon, thì ít nhất bạn đang đi đúng hướng.
Cuối cùng, quản trị viên có thể sử dụng hoặc đọc qua các tệp cấu hình Sysmon được tạo sẵn từ Florian Roth và SwiftOnSecurity để xem cách sử dụng các lệnh để chặn phần mềm độc hại.
Nguồn 🔗 BleepingComputer

11. Phần mềm độc hại dựa trên Windows của ThirdEye mới được phát hiện đánh cắp dữ liệu nhạy cảm

Một phần mềm đánh cắp thông tin dựa trên Windows không có giấy tờ trước đây có tên là ThirdEye đã được phát hiện ngoài thực tế với khả năng thu thập dữ liệu nhạy cảm từ các máy chủ bị nhiễm.
Fortinet FortiGuard Labs cho biết họ đã tìm thấy phần mềm độc hại trong một tệp thực thi giả mạo dưới dạng tệp PDF có tên tiếng Nga là "CMK Правила оформления больничных листов.pdf.exe," có nghĩa là "Quy tắc CMK về cấp phép nghỉ ốm". pdf.exe."
Vectơ đến của phần mềm độc hại hiện chưa được biết, mặc dù bản chất của các điểm thu hút cho thấy nó đang được sử dụng trong một chiến dịch lừa đảo. Mẫu ThirdEye đầu tiên được tải lên VirusTotal vào ngày 4 tháng 4 năm 2023 với tương đối ít tính năng hơn.
Kẻ đánh cắp đang phát triển, giống như các dòng phần mềm độc hại khác thuộc loại này, được trang bị để thu thập siêu dữ liệu hệ thống, bao gồm ngày phát hành BIOS và nhà cung cấp, tổng dung lượng đĩa trống/không gian trống trên ổ C, các quy trình hiện đang chạy, đăng ký tên người dùng và thông tin về ổ đĩa. Các chi tiết được tích lũy sau đó được truyền đến máy chủ chỉ huy và kiểm soát (C2).
Một đặc điểm đáng chú ý của phần mềm độc hại là nó sử dụng chuỗi "3rd_eye" để báo hiệu sự hiện diện của nó đối với máy chủ C2.
Không có dấu hiệu nào cho thấy rằng ThirdEye đã được sử dụng ngoài tự nhiên. Điều đó nói rằng, do phần lớn các tạo phẩm của kẻ đánh cắp đã được tải lên VirusTotal từ Nga, nên có khả năng hoạt động độc hại là nhằm vào các tổ chức nói tiếng Nga.
Các nhà nghiên cứu của Fortinet cho biết: "Mặc dù phần mềm độc hại này không được coi là phức tạp, nhưng nó được thiết kế để đánh cắp nhiều thông tin khác nhau từ các máy bị xâm nhập. Những thông tin này có thể được sử dụng làm bàn đạp cho các cuộc tấn công trong tương lai"
Sự phát triển diễn ra khi các trình cài đặt trojan cho nhượng quyền trò chơi điện tử nổi tiếng Super Mario Bros được lưu trữ trên các trang web torrent sơ sài đang được sử dụng để truyền bá các công cụ khai thác tiền điện tử và một trình đánh cắp mã nguồn mở được viết bằng C# có tên là Umbral để lọc dữ liệu quan tâm bằng cách sử dụng Discord Webhooks.
“Sự kết hợp giữa các hoạt động khai thác và đánh cắp dẫn đến tổn thất tài chính, giảm đáng kể hiệu suất hệ thống của nạn nhân và cạn kiệt tài nguyên hệ thống có giá trị .
notion image
Người dùng trò chơi điện tử cũng là mục tiêu của phần mềm tống tiền dựa trên Python và một trojan truy cập từ xa có tên là SeroXen, được phát hiện là lợi dụng công cụ làm xáo trộn tệp hàng loạt thương mại được gọi là ScrubCrypt (còn gọi là BatCloak) để tránh bị phát hiện. Bằng chứng cho thấy rằng các tác nhân liên quan đến sự phát triển của SeroXen cũng đã góp phần tạo ra ScrubCrypt.
Phần mềm độc hại được rao bán trên một trang web Clearnet được đăng ký vào ngày 27 tháng 3 năm 2023 trước khi ngừng hoạt động vào cuối tháng 5, đã tiếp tục được quảng cáo trên Discord, TikTok, Twitter và YouTube. Kể từ đó, một phiên bản bẻ khóa của SeroXen đã xuất hiện trên các diễn đàn tội phạm.
"Các cá nhân được khuyên nên nghi ngờ khi gặp các liên kết và gói phần mềm có liên quan đến các thuật ngữ như 'gian lận', 'hack', 'bẻ khóa' và các phần mềm khác liên quan đến việc đạt được lợi thế cạnh tranh", Trend Micro lưu ý trong một phân tích mới về SeroXen.
"Việc bổ sung SeroXen và BatCloak vào kho phần mềm độc hại của các tác nhân độc hại làm nổi bật sự phát triển của các bộ làm mờ FUD với rào cản thấp để xâm nhập. Cách tiếp cận gần như nghiệp dư của việc sử dụng phương tiện truyền thông xã hội để quảng cáo rầm rộ, xem xét cách có thể dễ dàng truy tìm nó, khiến những các nhà phát triển có vẻ như là người mới theo tiêu chuẩn của các tác nhân đe dọa tiên tiến."
Nguồn 🔗 TheHackerNews

12. Phần mềm độc hại EarlyRAT mới được liên kết với nhóm hack Andariel của Bắc Triều Tiên

Các nhà phân tích bảo mật đã phát hiện ra một trojan truy cập từ xa (RAT) không có giấy tờ trước đây có tên là 'EarlyRAT', được sử dụng bởi Andariel, một nhóm phụ của nhóm hack Lazarus do nhà nước Bắc Triều Tiên tài trợ.
Andariel (hay còn gọi là Stonefly) được cho là một phần của nhóm hack Lazarus nổi tiếng với việc sử dụng module backdoor DTrack để thu thập thông tin từ các hệ thống bị xâm nhập, chẳng hạn như lịch sử duyệt web, dữ liệu đã nhập (ghi nhật ký bàn phím), ảnh chụp màn hình, quy trình đang chạy.
Một nhóm người Triều Tiên sử dụng một biến thể mới hơn của DTrack, có thể là Andariel, đã thu thập tài sản trí tuệ có giá trị trong hai tháng.
Kaspersky cũng đã liên kết Andariel với việc triển khai ransomware Maui ở Nga, Ấn Độ và Đông Nam Á, vì vậy nhóm đe dọa thường tập trung vào việc tạo doanh thu.
Nhóm hack sử dụng EarlyRAT để thu thập thông tin hệ thống từ các thiết bị bị xâm phạm và gửi thông tin đó đến máy chủ C2 (điều khiển và kiểm soát) của kẻ tấn công.
Việc phát hiện ra RAT, đến từ Kaspersky, thêm một mảnh ghép khác vào câu đố về kho vũ khí của nhóm và giúp những người bảo vệ phát hiện và ngăn chặn các hành vi xâm nhập có liên quan.
EarlyRAT
Kaspersky đã phát hiện ra EarlyRAT khi đang điều tra một chiến dịch Andariel từ giữa năm 2022, trong đó các tác nhân đe dọa đang tận dụng Log4Shell để xâm phạm mạng công ty.
Bằng cách khai thác lỗ hổng trong phần mềm Log4j, Andariel đã tải xuống các công cụ có sẵn như 3Proxy, Putty, Dumpert và Powerline để thực hiện trinh sát mạng, đánh cắp thông tin xác thực và di chuyển bên.
Các nhà phân tích cũng nhận thấy một tài liệu lừa đảo trong các cuộc tấn công này, sử dụng macro để tải trọng EarlyRAT từ một máy chủ được liên kết với các chiến dịch ransomware Maui trước đây.
EarlyRAT là một công cụ đơn giản, khi khởi chạy, sẽ thu thập thông tin hệ thống và gửi đến máy chủ C2 thông qua yêu cầu POST.
Yêu cầu POST của EarlyRAT (Kaspersky)
notion image
Chức năng chính thứ hai của EarlyRAT là thực thi các lệnh trên hệ thống bị nhiễm, có thể tải xuống các tải trọng bổ sung, lọc dữ liệu có giá trị hoặc làm gián đoạn hoạt động của hệ thống.
Kaspersky không nói chi tiết về mặt đó nhưng nói rằng EarlyRAT rất giống với MagicRAT, một công cụ khác được Lazarus sử dụng, có chức năng bao gồm tạo các tác vụ theo lịch trình và tải xuống phần mềm độc hại bổ sung từ C2.
Các nhà nghiên cứu nói rằng các hoạt động EarlyRAT được kiểm tra dường như được thực hiện bởi một người điều hành thiếu kinh nghiệm, do có nhiều lỗi và lỗi chính tả.
Người ta quan sát thấy rằng các lệnh khác nhau được thực thi trên các thiết bị mạng bị vi phạm đã được nhập thủ công và không được mã hóa cứng, thường dẫn đến lỗi đánh máy.
Sự bất cẩn tương tự đã phát hiện ra một chiến dịch Lazarus đối với các nhà phân tích của WithSecure vào năm ngoái, họ đã chứng kiến một nhà điều hành của nhóm quên sử dụng proxy vào đầu ngày làm việc và để lộ địa chỉ IP của Triều Tiên.
Nguồn 🔗 BleepingComputer

13. Mã độc Fluhorse nhắm mục tiêu thẻ tín dụng và mã 2FA trên Android

🌟 Bài phân tích của Fortinet: https://www.fortinet.com/blog/threat-research/fortinet-reverses-flutter-based-android-malware-fluhorse
🌟 Nghiên cứu của Checkpoint: https://research.checkpoint.com/2023/eastern-asian-android-assault-fluhorse/
https://blog.checkpoint.com/security/fluhorse-check-point-research-exposes-a-newly-discovered-malware-disguised-as-east-asian-legitimate-popular-android-apps/
Các nhà nghiên cứu an ninh mạng vừa công bố thông tin chi tiết về cách thức hoạt động của một loại mã độc trên hệ điều hành Android có tên Fluhorse.
notion image
Nhà nghiên cứu Axelle Apvrille cho biết:
“Fluhorse cho thấy một sự thay đổi quan trọng khi mã độc này tích hợp trực tiếp các thành phần độc hại vào mã nguồn của mã nguồn Flutter.”
Lần đầu tiên, mã độc được phát hiện vào đầu tháng 5 năm 2023 với cách thức xâm nhập ban đầu là phishing. Fluhorse nhắm vào người dùng khu vực Đông Á, chủ yếu ở Đài Loan và Việt Nam, thông qua các ứng dụng giả mạo như ETC và VPBank Neo.
Mục tiêu cuối cùng là đánh cắp thông tin đăng nhập, thẻ tín dụng và mã xác thực hai yếu tố (2FA) được gửi qua tin nhắn SMS và gửi đến một máy chủ từ xa được kiểm soát bởi kẻ xấu.
Theo các phát hiện mới nhất từ Fortinet, các chuyên gia đã phân tích một mẫu Fluhorse được tải lên VirusTotal vào ngày 11 tháng 6 năm 2023. Kết quả cho thấy mã độc này đã phát triển và trở nên tinh vi hơn khi cố tình ẩn đi payload đã được mã hóa trong một trình đóng gói (packer).
Chuyên gia giải thích:
"Quá trình giải mã được thực hiện ở mức độ cấp ngôn ngữ gốc (nhằm làm khó khả năng phân tích ngược) bằng cách sử dụng API mã hóa EVP của OpenSSL. Thuật toán mã hóa là AES-128-CBC và cách triển khai là sử dụng cùng một chuỗi mã hóa cứng cho khóa và vectơ khởi tạo (IV)."
Phần payload đã được giải mã là một tập tin ZIP, chứa một tệp thực thi Dalvik (.dex). Tệp này sau đó được cài đặt trên thiết bị để nghe lén tin nhắn đến (SMS) và trích xuất thông tin gửi đến máy chủ từ xa.
Nguồn 🔗 TheHackerNews

14. Tin tặc khai thác lỗ hổng zero-day trong plugin Ultimate Member WordPress với 200 nghìn lượt cài đặt

Tin tặc khai thác lỗ hổng leo thang đặc quyền zero-day trong plugin WordPress 'Ultimate Member' để xâm phạm các trang web bằng cách bỏ qua các biện pháp bảo mật và đăng ký tài khoản quản trị viên giả mạo.
Ultimate Member là một plugin thành viên và hồ sơ người dùng hỗ trợ đăng ký và xây dựng cộng đồng trên các trang web WordPress và nó hiện có hơn 200.000 lượt cài đặt đang hoạt động.
Lỗ hổng bị khai thác, được theo dõi là CVE-2023-3460 và có điểm CVSS v3.1 là 9,8 ("critical"), ảnh hưởng đến tất cả các phiên bản của plugin Ultimate Member, bao gồm cả phiên bản mới nhất của nó, v2.6.6.
Mặc dù ban đầu các nhà phát triển đã cố gắng sửa lỗ hổng trong các phiên bản 2.6.3, 2.6.4, 2.6.5 và 2.6.6 nhưng vẫn có nhiều cách để khai thác lỗ hổng. Các nhà phát triển cho biết họ đang tiếp tục làm việc để giải quyết vấn đề còn lại và hy vọng sẽ sớm phát hành bản cập nhật mới.
"Chúng tôi đang nghiên cứu các bản sửa lỗi liên quan đến lỗ hổng này kể từ phiên bản 2.6.3 khi chúng tôi nhận được báo cáo từ một trong những khách hàng của mình"
"Phiên bản 2.6.4, 2.6.5, 2.6.6 đóng một phần lỗ hổng này nhưng chúng tôi vẫn đang làm việc cùng với nhóm WPScan để đạt được kết quả tốt nhất. Chúng tôi cũng nhận được báo cáo của họ với tất cả các chi tiết cần thiết."
"Tất cả các phiên bản trước đều dễ bị tổn thương, vì vậy chúng tôi khuyên bạn nên nâng cấp trang web của mình lên 2.6.6 và tiếp tục cập nhật trong tương lai để nhận được các cải tiến tính năng và bảo mật gần đây."
Các cuộc tấn công khai thác CVE-2023-3460
Các cuộc tấn công khai thác zero-day này đã được phát hiện bởi các chuyên gia bảo mật trang web tại Wordfence, họ cảnh báo rằng những kẻ đe dọa khai thác nó bằng cách sử dụng biểu mẫu đăng ký của plugin để đặt giá trị meta người dùng tùy ý trên tài khoản của họ.
Cụ thể hơn, những kẻ tấn công đặt giá trị meta người dùng "wp_capabilities" để xác định vai trò người dùng của họ là quản trị viên, cấp cho họ toàn quyền truy cập vào trang web dễ bị tấn công.
Plugin có một danh sách chặn cho các khóa mà người dùng không thể nâng cấp; tuy nhiên, việc bỏ qua biện pháp bảo vệ này là chuyện nhỏ.
Các trang web WordPress bị tấn công bằng CVE-2023-3460 trong các cuộc tấn công này sẽ hiển thị các chỉ báo sau:
  • Xuất hiện tài khoản quản trị viên mới trên website
  • Cách sử dụng tên người dùng wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal
  • Các bản ghi nhật ký cho thấy các IP được xác định là độc hại đã truy cập trang đăng ký Ultimate Member
  • Bản ghi nhật ký hiển thị quyền truy cập từ 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 và 172.70.147.176
  • Xuất hiện tài khoản người dùng có địa chỉ email được liên kết với "exelica.com"
  • Cài đặt các plugin và chủ đề WordPress mới trên trang web
Vì lỗ hổng nghiêm trọng vẫn chưa được vá và rất dễ khai thác, WordFence khuyến nghị nên gỡ cài đặt plugin Ultimate Member ngay lập tức.
Wordfence giải thích rằng ngay cả quy tắc tường lửa mà họ phát triển đặc biệt để bảo vệ khách hàng của mình khỏi mối đe dọa này cũng không bao gồm tất cả các tình huống khai thác tiềm ẩn, vì vậy việc xóa plugin cho đến khi nhà cung cấp giải quyết vấn đề là hành động thận trọng duy nhất.
Nếu một trang web bị phát hiện đã bị xâm phạm, dựa trên các IoC được chia sẻ ở trên, việc xóa plugin sẽ không đủ để khắc phục rủi ro.
Trong những trường hợp đó, chủ sở hữu trang web phải chạy quét phần mềm độc hại hoàn chỉnh để xóa hết, chẳng hạn như tài khoản quản trị viên lừa đảo và mọi backdoor mà họ đã tạo.
Nguồn 🔗 BleepingComputer

15. Tội phạm mạng chiếm quyền điều khiển máy chủ SSH dễ bị tổn thương trong chiến dịch tấn công ủy quyền mới

Một chiến dịch có động cơ tài chính tích cực đang nhắm mục tiêu các máy chủ SSH dễ bị tấn công để ngấm ngầm gài bẫy chúng vào một mạng proxy.
"Đây là một chiến dịch đang hoạt động, trong đó kẻ tấn công tận dụng SSH để truy cập từ xa, chạy các tập lệnh độc hại lén lút đưa máy chủ nạn nhân vào mạng proxy ngang hàng (P2P), chẳng hạn như Peer2Profit hoặc Honeygain" nhà nghiên cứu Allen West của Akamai.
Không giống như cryptojacking, trong đó tài nguyên của hệ thống bị xâm nhập được sử dụng để khai thác tiền điện tử bất hợp pháp, proxyjacking cung cấp khả năng cho các tác nhân đe dọa tận dụng băng thông không sử dụng của nạn nhân để chạy các dịch vụ khác nhau một cách tình cờ dưới dạng nút P2P.
Điều này mang lại lợi ích gấp đôi: Nó không chỉ cho phép kẻ tấn công kiếm tiền từ băng thông bổ sung với tải tài nguyên giảm đáng kể cần thiết để thực hiện tấn công bằng tiền điện tử, mà còn làm giảm cơ hội bị phát hiện.
West cho biết : “Đó là một giải pháp thay thế tàng hình hơn so với cryptojacking và có những tác động nghiêm trọng có thể làm tăng thêm những cơn đau đầu mà các cuộc tấn công Lớp 7 ủy nhiệm đã gây ra”.
Tệ hơn nữa, tính năng ẩn danh do các dịch vụ phần mềm proxy cung cấp có thể là con dao hai lưỡi ở chỗ chúng có thể bị các tác nhân độc hại lạm dụng để làm xáo trộn nguồn tấn công bằng cách định tuyến lưu lượng truy cập qua các nút trung gian.
notion image
Akamai, đã phát hiện ra chiến dịch mới nhất vào ngày 8 tháng 6 năm 2023, cho biết hoạt động này được thiết kế để vi phạm các máy chủ SSH nhạy cảm và triển khai một tập lệnh Bash bị xáo trộn, do đó, được trang bị để tìm nạp các phụ thuộc cần thiết từ một máy chủ web bị xâm nhập, bao gồm cả lệnh curl công cụ -line bằng cách ngụy trang nó dưới dạng tệp CSS ("csdark.css").
Tập lệnh lén lút tiếp tục tích cực tìm kiếm và chấm dứt các phiên bản cạnh tranh đang chạy các dịch vụ chia sẻ băng thông, trước khi khởi chạy các dịch vụ Docker chia sẻ băng thông của nạn nhân để kiếm lợi nhuận.
Một cuộc kiểm tra sâu hơn về máy chủ web đã tiết lộ rằng nó cũng đang được sử dụng để lưu trữ một công cụ khai thác tiền điện tử, cho thấy rằng các tác nhân đe dọa đang nhúng tay vào cả các cuộc tấn công mã hóa và tấn công proxyjacking.
Mặc dù phần mềm proxy vốn không phải là bất chính, nhưng Akamai lưu ý rằng "một số công ty này không xác minh chính xác nguồn IP trong mạng và thậm chí đôi khi đề nghị mọi người cài đặt phần mềm trên máy tính làm việc của họ."
Tuy nhiên, những hoạt động như vậy chuyển sang lĩnh vực tội phạm mạng khi các ứng dụng được cài đặt mà người dùng không biết hoặc không đồng ý, do đó cho phép tác nhân đe dọa kiểm soát một số hệ thống và tạo ra doanh thu bất hợp pháp.
"Các kỹ thuật cũ vẫn hiệu quả, đặc biệt là khi kết hợp với các kết quả mới,". "Các biện pháp bảo mật tiêu chuẩn vẫn là một cơ chế phòng ngừa hiệu quả, bao gồm mật khẩu mạnh, quản lý bản vá và ghi nhật ký tỉ mỉ."
Nguồn 🔗 TheHackerNews